Au-delà de Linux® From Scratch - Version 2012-11-01

Chapitre 16. Outils réseaux

Wireshark-1.8.3

Introduction à Wireshark

Le paquet Wireshark contient un analyseur de protocole réseau connu aussi sous le nom de « sniffer ». Ceci est utile pour analyser les données capturées « hors connexion » à partir d'une connexion réseau en direct ou de données lues à partir d'un fichier de capture. Wireshark fournit à la fois un mode graphique et un front-end TTY-mode pour examiner les paquets réseau capturés de plus de 500 protocoles, ainsi que la capacité de lire des fichiers de capture à partir de nombreux autres analyseurs de réseau populaires.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.2.

Informations sur le paquet

Téléchargements additionnels

Depuis cette page, vous pourrez télécharger de nombreux documents différents dans une variété de formats.

Dépendances de Wireshark

Requis

GLib-2.34.1 (pour ne construire que l'interface en mode ligne de commande)

Notez que si vous n'avez pas Gtk+ installé, vous aurez besoin de passer --disable-wireshark à la commande configure.

Recommandés

libpcap-1.3.0 (requis pour capturer les données)

Facultatives

gtk+-2.24.13 or GTK+-3.6.1 (pour construire l'interface graphique), OpenSSL-1.0.1c, MIT Kerberos V5-1.10.3, Python-2.7.3, PCRE-8.31, GnuTLS-3.0.25, PortAudio, GeoIP, adns, et Lua

Notes d'utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/wireshark

Configuration du noyau

Le noyau doit avoir le protocole de paquets (Packet protocol) activé pour que Wireshark capture les paquets en direct à partir du réseau. Activez le protocole de paquets (Packet protocol) en choisissant « Y » dans le paramètre de configuration « Networking » – « Packet socket ». Alternativement, construisez le module af_packet.ko en choisissant « M » à ce paramètre.

Installation de Wireshark

Éventuellement, corrigez la description du programme dans titre. Le premier changement écrase le "SVN Unknown" (SVN inconnu) par défaut dans le titre et le second écrase un script qui réinitialise la version à to "unknown" (inconnue). 

cat > svnversion.h << "EOF"
#define SVNVERSION "BLFS"
#define SVNPATH "source"
EOF

cat > make-version.pl << "EOF"
#!/usr/bin/perl
EOF

Wireshark est une application très grosse et très complexe. Ces instructions donnent les mesures de sécurité pour garantir que seuls les utilisateurs de confiance soient autorisés à voir le trafic réseau. Tout d'abord, définissez le groupe system pour wireshark. En tant qu'utilisateur root : 

groupadd -g 62 wireshark

Continuez à installer Wireshark en lançant les commandes suivantes : 

./configure --prefix=/usr --sysconfdir=/etc &&
make

Ce paquet n'est pas livré avec une suite de test

Maintenant, en tant qu'utilisateur root : 

make install &&

install -v -m755 -d /usr/share/doc/wireshark-1.8.3 &&
install -v -m755 -d /usr/share/pixmaps/wireshark &&

install -v -m644    README{,.linux} doc/README.* doc/*.{pod,txt}                     /usr/share/doc/wireshark-1.8.3 &&
pushd /usr/share/doc/wireshark-1.8.3 &&
for FILENAME in ../../wireshark/*.html; do     ln -s -v $FILENAME .
done &&
popd &&

install -v -m644 -D wireshark.desktop                     /usr/share/applications/wireshark.desktop &&
install -v -m644 -D image/wsicon48.png                     /usr/share/pixmaps/wireshark.png &&
install -v -m644    image/*.{png,ico,xpm,bmp}                     /usr/share/pixmaps/wireshark

Si vous avez téléchargé un des fichiers de documentation mentionnés dans 'Téléchargements supplémentaires', installez les en suivant les commandes suivantes en tant qu'utilisateur root : 

install -v -m644 <Downloaded_Files> /usr/share/doc/wireshark-1.8.3

Maintenant, définissez le propriétaire et les droits des applications sensibles pour ne permettre qu'aun utilisateurs autorisés de l'utiliser. En tant qu'utilisateur root : 

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Enfin, ajoutez les utilisateurs au groupe wireshark avec usermod -a -G wireshark <username>.

Explication des commandes

--enable-threads : Ce paramètre active l'utilisation des threads dans wireshark.

--with-ssl : Ce paramètre est obligatoire si vous liez les bibliothèques Kerberos à la construction de façon à ce que la bibliothèque OpenSSL libcrypto soit trouvée.

--with-python : Ce paramètre est requis si vous voulez construire les bindings Python.

Configurer Wireshark

Fichiers de configuration

/etc/wireshark.conf et ~/.wireshark/*

Informations de configuration

Si les paramètres de configuration par défaut sont très clairs, reportez vous à la section de configuration du Guide de l'utilisateur de Wireshark (Wireshark User's Guide) pour les informations de configuration. La majorité de la configuration de Wireshark peut être réalisée en utilisant les options du menu de l'interface graphique de wireshark.

[Note]

Note

Si vous voulez regarder les packets, assurez vous que vous ne les filtrez pas avec iptables-1.4.16.2. Si vous voulez exclure certaines classes de paquets, il est plus efficace de le faire avec iptables qu'avec Wireshark.

Contenu

Programmes installés: capinfos, dftest, dumpcap, editcap, idl2wrs, mergecap, randpkt, rawshark, text2pcap, tshark et wireshark
Bibliothèques installées: libwireshark.so, libwiretap.so, libwsutil.so, et de nombreux modules supplémentaires
Répertoires installés: /usr/lib/wireshark, /usr/share/doc/wireshark-1.8.3, /usr/share/pixmaps/wireshark et /usr/share/wireshark

Descriptions courtes

capinfos

lit un fichier de capture sauvegardé et retourne certaines ou toutes les différentes statistiques sur ce fichier. Il est capable de détecter et lire toutes les captures supportées par le paquet Wireshark.

dftest

est un programme test d'affichage-filtrage-compilation.

dumpcap

est un outil de vidage de traffic réseau. Il vous permet de capturer en direct les paquets de données d'un réseau et écrire ces paquets dans un fichier.

editcap

édite et/ou traduit le format des fichiers de capture. Il sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui capturent dans ce format.

idl2wrs

prend un fichier utilisateur CORBA IDL spécifié et génère un code source « C » qui peut être utilisé pour créer un plugin Wireshark.

mergecap

combine de multiples fichiers de capture en un fichier unique de sortie.

randpkt

crée des fichiers de capture de paquets aléatoires.

rawshark

crée et analyse des données raw libpcap.

text2pcap

lit dans une sauvegarde ASCII hexadécimale et écrit les données décrites dans un fichier de capture de style libpcap.

tshark

est un analyseur de protocole réseau mode TTY. Il vous permet de capturer directement les paquets de donnée à partir d'un réseau ou lire les paquets à partir d'un fichier de capture sauvegardé précédemment.

wireshark

est un analyseur de protocole réseau GUI. Il vous permet de parcourir intéractivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

libwireshark.so

contient les fonctions utilisés par les programmes de Wireshark pour effectuer le filtrage et la capture de paquets.

libwiretap.so

est une bibliothèque développée afin de remplacer dans le futur libpcap, la bibliothèque Unix standard actuelle pour la capture de paquets. Pour plus d'informations, consultez le fichier README dans le répertoire source wiretap.

Last updated on : 2012-10-30 22:58:31 +010